
    <!DOCTYPE html>
    <html lang="zh-CN">
    <head>
      <meta charset="UTF-8">
      <meta name="viewport" content="width=device-width, initial-scale=1.0">
      <title>8、Spring Boot 的安全机制 - 学习卡片</title>
      <style>
        body { font-family: sans-serif; background-color: #f0f8ff; color: #333; display: flex; flex-direction: column; align-items: center; padding: 50px 20px; }
        .header h1 { font-size: 32px; }
        .grid-container { display: grid; grid-template-columns: repeat(3, 1fr); gap: 28px; width: 100%; max-width: 1200px; }
        .card-container { perspective: 1200px; cursor: pointer; height: 250px; }
        .card { width: 100%; height: 100%; position: relative; transform-style: preserve-3d; transition: transform 0.7s; border-radius: 16px; box-shadow: 0 4px 16px rgba(0,0,0,0.08); }
        .card-container.flipped .card { transform: rotateY(180deg); }
        .card-face { position: absolute; width: 100%; height: 100%; backface-visibility: hidden; display: flex; flex-direction: column; box-sizing: border-box; border-radius: 16px; background-color: #fff; padding: 24px; }
        .card-back { background-color: #f0fff4; transform: rotateY(180deg); justify-content: space-between; }
        .card-category { font-size: 14px; color: #0052d9; margin-bottom: 8px; font-weight: 500; }
        .card-question { font-size: 20px; font-weight: 500; flex-grow: 1; display: flex; align-items: center; justify-content: center; text-align: center; }
        .card-answer-wrapper { flex-grow: 1; overflow-y: auto; }
        .card-answer { font-size: 15px; line-height: 1.7; }
        .card-footer { font-size: 13px; color: #8a919f; border-top: 1px solid #f0f0f0; padding-top: 16px; margin-top: 16px; }
        .card-source { font-size: 13px; color: #8a919f; border-top: 1px solid #f0f0f0; padding-top: 12px; margin-top: 12px; }
      </style>
    </head>
    <body>
      <div class="header">
        <h1>8、Spring Boot 的安全机制 - 学习卡片</h1>
      </div>
      <div class="grid-container">
        
    <div class="card-container" onclick="this.classList.toggle('flipped');">
      <div class="card">
        <div class="card-face card-front">
          <div class="card-category">机制</div>
          <div class="card-question">Spring Boot是如何自动启用其安全功能的？</div>
          <div class="card-footer">点击卡片查看答案</div>
        </div>
        <div class="card-face card-back">
          <div class="card-category">机制</div>
          <div class="card-answer-wrapper">
            <div class="card-answer">当应用中包含了 `spring-boot-starter-security` 依赖时，Spring Boot 会通过 `SpringSecurityAutoConfiguration` 类来自动启用和配置安全功能。</div>
          </div>
          <div class="card-source">来源: 1. Spring Boot 的安全机制自动配置</div>
        </div>
      </div>
    </div>

    <div class="card-container" onclick="this.classList.toggle('flipped');">
      <div class="card">
        <div class="card-face card-front">
          <div class="card-category">技术</div>
          <div class="card-question">在Spring Security中，用于加载用户认证信息的标准接口是什么？文档提到了哪种实现方式用于内存认证？</div>
          <div class="card-footer">点击卡片查看答案</div>
        </div>
        <div class="card-face card-back">
          <div class="card-category">技术</div>
          <div class="card-answer-wrapper">
            <div class="card-answer">用于加载用户信息的标准接口是 `UserDetailsService`。文档中提到的用于内存认证的实现类是 `InMemoryUserDetailsManager`。</div>
          </div>
          <div class="card-source">来源: 2. 认证机制</div>
        </div>
      </div>
    </div>

    <div class="card-container" onclick="this.classList.toggle('flipped');">
      <div class="card">
        <div class="card-face card-front">
          <div class="card-category">特性</div>
          <div class="card-question">在配置用户信息时，密码前面的 `{noop}` 前缀代表什么？这在生产环境中推荐使用吗？</div>
          <div class="card-footer">点击卡片查看答案</div>
        </div>
        <div class="card-face card-back">
          <div class="card-category">特性</div>
          <div class="card-answer-wrapper">
            <div class="card-answer">密码前面的 `{noop}` 前缀表示密码不做任何加密处理。文档明确指出，在生产环境中，密码应当进行加密存储，例如使用 bcrypt 或 PBKDF2 等算法。</div>
          </div>
          <div class="card-source">来源: 2. 认证机制</div>
        </div>
      </div>
    </div>

    <div class="card-container" onclick="this.classList.toggle('flipped');">
      <div class="card">
        <div class="card-face card-front">
          <div class="card-category">模式</div>
          <div class="card-question">Spring Security提供了哪两种主要方式来配置授权？</div>
          <div class="card-footer">点击卡片查看答案</div>
        </div>
        <div class="card-face card-back">
          <div class="card-category">模式</div>
          <div class="card-answer-wrapper">
            <div class="card-answer">Spring Security提供了两种主要的授权配置方式：1. 通过HTTP安全配置中的 `authorizeRequests()` 方法进行URL级别的配置；2. 使用 `@PreAuthorize` 或 `@Secured` 等注解对具体方法进行授权控制。</div>
          </div>
          <div class="card-source">来源: 3. 授权机制</div>
        </div>
      </div>
    </div>

    <div class="card-container" onclick="this.classList.toggle('flipped');">
      <div class="card">
        <div class="card-face card-front">
          <div class="card-category">技术</div>
          <div class="card-question">如何配置一个URL路径（例如 `/admin/**`）只允许特定角色的用户访问？</div>
          <div class="card-footer">点击卡片查看答案</div>
        </div>
        <div class="card-face card-back">
          <div class="card-category">技术</div>
          <div class="card-answer-wrapper">
            <div class="card-answer">可以通过在HTTP安全配置中使用 `.antMatchers("/admin/**").hasRole("ADMIN")` 来实现。这表示 `/admin/**` 路径下的所有请求都要求用户拥有 "ADMIN" 角色。</div>
          </div>
          <div class="card-source">来源: 3. 授权机制</div>
        </div>
      </div>
    </div>

    <div class="card-container" onclick="this.classList.toggle('flipped');">
      <div class="card">
        <div class="card-face card-front">
          <div class="card-category">理论</div>
          <div class="card-question">什么是CSRF攻击？Spring Security对此的默认防护策略是什么？</div>
          <div class="card-footer">点击卡片查看答案</div>
        </div>
        <div class="card-face card-back">
          <div class="card-category">理论</div>
          <div class="card-answer-wrapper">
            <div class="card-answer">CSRF（跨站请求伪造）攻击是指攻击者诱导用户执行非本意的请求。Spring Security 默认启用 CSRF 防护，它会为所有的 POST 请求自动添加并验证 CSRF token，以确保请求的合法性。</div>
          </div>
          <div class="card-source">来源: 4. 跨站请求伪造 (CSRF) 防护</div>
        </div>
      </div>
    </div>

    <div class="card-container" onclick="this.classList.toggle('flipped');">
      <div class="card">
        <div class="card-face card-front">
          <div class="card-category">技术</div>
          <div class="card-question">在什么场景下可能需要禁用CSRF防护，以及如何进行配置？</div>
          <div class="card-footer">点击卡片查看答案</div>
        </div>
        <div class="card-face card-back">
          <div class="card-category">技术</div>
          <div class="card-answer-wrapper">
            <div class="card-answer">在开发 RESTful API 等场景下可能需要禁用 CSRF 防护。可以通过调用 `http.csrf().disable()` 方法来实现禁用。</div>
          </div>
          <div class="card-source">来源: 4. 跨站请求伪造 (CSRF) 防护</div>
        </div>
      </div>
    </div>

    <div class="card-container" onclick="this.classList.toggle('flipped');">
      <div class="card">
        <div class="card-face card-front">
          <div class="card-category">模式</div>
          <div class="card-question">在Spring Boot中，实现全局CORS配置和局部CORS配置分别有哪些方式？</div>
          <div class="card-footer">点击卡片查看答案</div>
        </div>
        <div class="card-face card-back">
          <div class="card-category">模式</div>
          <div class="card-answer-wrapper">
            <div class="card-answer">全局CORS配置可以通过实现 `WebMvcConfigurer` 接口并重写 `addCorsMappings` 方法来完成。局部CORS配置则可以在控制器或其方法上直接使用 `@CrossOrigin` 注解。</div>
          </div>
          <div class="card-source">来源: 5. 跨域资源共享 (CORS) 支持</div>
        </div>
      </div>
    </div>

    <div class="card-container" onclick="this.classList.toggle('flipped');">
      <div class="card">
        <div class="card-face card-front">
          <div class="card-category">机制</div>
          <div class="card-question">在Spring Boot的安全自动配置中，`SecurityFilterChain` Bean的核心作用是什么？</div>
          <div class="card-footer">点击卡片查看答案</div>
        </div>
        <div class="card-face card-back">
          <div class="card-category">机制</div>
          <div class="card-answer-wrapper">
            <div class="card-answer">`SecurityFilterChain` Bean用来配置HTTP安全策略，例如定义哪些请求需要认证、哪些可以匿名访问，以及配置表单登录和注销功能等。</div>
          </div>
          <div class="card-source">来源: 1. Spring Boot 的安全机制自动配置</div>
        </div>
      </div>
    </div>

      </div>
    </body>
    </html>
